El reciente ransomware denominado por un grupo de investigadores “Snatch”, tiene una particularidad diferente que la hace muy peligrosa, la cual es de forzar al Sistema Windows a reiniciar, entrar en modo seguro (donde normalmente las herramientas de seguridad están deshabilitadas) y realizar la encriptación de la información.
Los investigadores al realizar el seguimiento distinguieron la entrada del atacante, el cual fue mediante fuerza bruta hacia una cuenta con privilegios de administrador de un servidor de Microsoft Azure. Con la finalidad de iniciar sesión usando la interfaz Remote Desktop “RDP”. Al tener control sobre el servidor Azure, este fue usado como apoyo para moverse lateralmente hacia otros equipos, entre ellos, el controlador de dominio (Domain Controller “DC”), tomándose la tarea de vigilar la red y exfiltrar información. Una vez el hacker selecciona su objetivo, donde descarga el ransomware Snatch y realiza su instalación en un tiempo aparentemente aleatorio que puede ser unos pocos días o semanas.
Una vez descargado el ejecutable, el ransomware se instala como un servicio llamado “SuperBackupMan” y su descripción pone “This service make backup copy every day” (mensaje que puede ayudar en burlar la entrada en la lista de servicios), poseyendo propiedades que impiden al usuario detener su proceso de ejecución, inmediatamente reiniciará la máquina, donde iniciará en modo seguro y encriptará la información sin la resistencia de protección de algún agente de seguridad.
Desde Arkavia Networks recomendamos:
- No dejar sin protección la interfaz Remote Desktop, en especial hacia internet.
- Proteger sus credenciales, en especial las usadas en herramientas de escritorio remoto (VNC, TeamViewer, etc).
- Implementar múltiples factores de autenticación para los usuarios con privilegios administrativos.
- Mantener monitoreado los equipos que posean información de importancia.
COMENTARIOS